從Melissa到Zotob：Windows蠕蟲10年回放

一長串饒舌的名字，讀起來就像是在報道“美國職業拳擊”中的某個片斷。Klez、Blaster、Slammer、Sasser、Zotob……，這些電腦病毒和蠕蟲，都齊刷刷地對準了微軟的Windows作業系統的用戶。
　　
　　電腦病毒活動首次出現可以追溯到1982年，一個稱為Elk Cloner的蠕蟲程式偷偷爬進了Apple II系統中。接著出現了Morris蠕蟲，這個首次記入檔案的流竄的彈性概念(proof-of-concept)，感染了DEC VAX機。隨後，在上世紀80年代後期，出現了針對IBM PC系列和Amigas的SCA病毒和Brain。
　　
　　這些蠕蟲基本上都沒有把大型機作為長期的攻擊目標，Windows 95登臺亮相後，它們不約而同地轉上這一新的陣地。這種場面，在電腦領域可算史無前例。
　　
　　1999年3月:梅利莎(Melissa)攻擊
　　
　　以佛羅裏達州一位膝舞女郎的名字為名，梅利莎被認為是第一個針對微軟用戶的破壞性的郵件群發蠕蟲。這個蠕蟲通過微軟的Word和Outlook傳播，感染速度驚人地快。
　　
　　梅利莎蠕蟲，是由新澤西州一名駭客製造的，為此，這名駭客被送入大牢。他首先以微軟的Word文件的形式，把梅利莎發佈在了一個Usenet討論組中，然後該病毒通過電子郵件飛速傳播，導致反病毒廠商連滾帶爬地趕忙前去捉蟲，並且CERT調協中心也馬上發佈了警告。
　　
　　2000年5月:我愛你(ILOVEYOU)
　　
　　“我愛你”病毒，別名VBS/情書(VBS/Loveletter)或愛蟲(LoveBug)，現在仍被廣泛認為是給企業帶來最大經濟損失的病毒。它使用社會工程和詐騙主題隊列(catchy subject lines)誘騙Windows用戶運行可執行文件。
　　
　　這個蠕蟲通過向所有微軟Outlook地址簿中的郵件列表發送自身拷貝達到快速傳播的目的。反病毒研究員也發現了另一個同樣危險的名為“WIN-BUGSFIX.EXE”的組件，它是一個密碼盜竊程式，把緩存中的密碼用電子郵件送回給攻擊者。
　　
　　該蠕蟲還引起了主要媒體的關注，因為它對白宮網址發起了一場拒絕服務攻擊。直到這一天，反病毒廠商才報告了“我愛你”病毒在流竄。
　　
　　2001年:三面夾擊
　　
　　這一年，惡意蠕蟲活動激增，有3個高姿態攻擊，對Windows用戶狂轟濫炸。第一個是SirCam，通過電子郵件和未加防護的網路共用文件傳播。SirCam帶來的危害還不至於太大，但隨後出現的蠕蟲洪流卻足以讓企業瞠目結舌，帶來上百萬美元的損失。
　　
　　2001年7月，紅色代碼的再次出現讓業界雞犬不寧，它借助於微軟Internet資訊伺服器(IIS)Web伺服器上的一個漏洞傳播。該病毒利用隨IIS發佈的索引軟體中的一個漏洞，使網站上出現“Hacked By Chinese!”的字樣，在很大範圍內引起了恐慌。紅色代碼通過在Internet上的IIS伺服器中尋找更多漏洞來傳播自己，8月份，對包括白宮在內的數個美國政府網站發起了拒絕服務攻擊。
　　
　　此後不到一個月，出現了一個新變種，稱為紅色代碼二號(Code Red II)，引發了更大破壞。
　　
　　被SirCam和紅色代碼搞得暈頭轉向的Windows用戶還沒清醒過來，Klez就出擊了。該病毒依賴於電子郵件，利用微軟的Internet Explorer瀏覽器中的一個漏洞，向Outlook及Outlook Express用戶發起進攻。
　　
　　因為Klez要求用戶點擊一個電子郵件附件才可能發揮作用，所以這次帶來的危害比較有限。但隨後的變種病毒用假冒的發送方地址誘騙用戶，這讓人們首次認識到病毒作者為了躲避追擊會變換伎倆。後來，假冒電子郵件地址就成了一種標準的誘騙技術，用來攻擊非專業的電子郵件Windows用戶。
　　
　　Slammer、Sobig和Blaster
　　
　　2002年是平靜的一年。2003年1月出現的Slammer和夏季出現的Sobit及Blaster讓Windows不得不使出渾身解數，應對這場三面夾擊的戰役。
　　
　　Slammer利用微軟的SQL Server數據庫的兩個緩衝區溢出漏洞，引起了網路流量大擁塞，覆蓋面極廣，橫貫亞洲、歐洲和北美洲。讓人不禁想起紅色代碼蠕蟲。
　　
　　前10分鐘，該蠕蟲病毒就感染了大約75000台主機，後續時間裏又在世界範圍內打下了數個ISP，使之斷網。
　　
　　微軟正在竭盡全力對付Slammer時，在夏季，又爆發了兩個新病毒，Sobig和Blaster在數以百萬計的未打補丁的Windows電腦中流竄。快速傳播的這兩個病毒搞攤了全球範圍的網路，清除和恢復的費用，據估計要有上千萬美元。
　　
　　Blaster尤其討厭。它通過利用Windows 2000和Windows XP上的DCOM RPC服務中的緩存溢出漏洞，並對微軟的安全補丁大本營windowsupdate.com網站的80端口發起了一場SYN flood攻擊。通過重定向網站，微軟暫時躲開了這發子彈，但媒體的壓力，迫使微軟對補丁日程安排做重大調整，來幫助用戶對付這種補丁管理惡夢。
　　
　　2004:Sasser攻擊
　　
　　Slammer和Blaster之後，微軟的用戶痛苦萬分地抱怨說，微軟不可預測的補丁日程讓攻擊者在打補丁的過程的中有機會發起進攻。2003年10月，首席執行官史蒂夫·鮑爾默(Steve Ballmer)宣佈，除緊急情況外，以後會以月為週期發佈安全補丁更新。
　　
　　這個計劃大受歡迎，但蠕蟲攻擊一點沒有呈現減緩之勢。2004年1月，發現了MyDoom蠕蟲，它通過群發郵件中的載荷攻擊Windows作業系統。很快，MyDoom的傳播速度就超過了Sobig，成為最快的電子郵件蠕蟲。除了攻擊Windows機器，構建botnet網路外，MyDoom還向微軟的網址發起了分佈式拒絕服務攻擊(Distributed Denial-Of-Service，DDoS)。
　　
　　你方唱罷我登場，5月初，Sasser來了。利用LSASS((Local Security Authority Subsystem Service，本地安全權力子系統服務)組件的一個漏洞，Sasser蠕蟲潛入了未打補丁的Windows 2000和Windows XP系統。Sasser危險性特別大、傳播速度特別快，通過脆弱的網路端口進攻系統。
　　
　　微軟向來以反應迅速、控制Sasser傳播出名，但最新的Zotob攻擊證明，和10年前進攻Windows 95相比，現在進攻一個未打補丁的漏洞的時間大大縮短了。